目 录（目录名）

Transcription

1 H3C WX6100E 系列无线控制器 二层技术 - 以太网交换配置指导 杭州华三通信技术有限公司 资料版本 : C-1.00 产品版本 :Release 6613 及以上版本

2 Copyright 2010 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保

3 前言 H3C WX6100E 系列无线控制器以太网交换机相关功能的配置指导共分为十二本手册, 介绍了以太网交换机相关特性的原理及其配置方法, 包含原理简介 配置任务描述和配置举例 二层技术 - 以太网交换配置指导 主要介绍了以太网交换技术的原理及具体配置方法 通过这些技术您可以实现流量控制 流量的负载分担 同一 VLAN 内用户隔离 二层环路消除 VLAN 划分 私网报文穿越公网 修改报文的 VLAN Tag 等功能 前言部分包含如下内容 : 读者对象 内容组织 本书约定 资料获取方式 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 内容组织 本书主要从如下部分进行介绍 : 配置指导 内容 以太网端口配置 Loopback 接口和 Null 接口配置 MAC 地址表配置 MAC Information 配置 二层技术 - 以太网交换配置指导 以太网链路聚合配置 端口隔离配置 MSTP 配置 BPDU Tunnel 配置 VLAN 配置 Super VLAN 配置 Isolate-user-VLAN 配置 Voice VLAN 配置 GVRP 配置 QinQ 配置 VLAN 映射配置 LLDP 配置 业务环回组配置

4 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从两个或多个选项中选取一个 [ x y... ] 表示从两个或多个选项中选取一个或者不选 { x y... } * 表示从两个或多个选项中选取多个, 最少选取一个, 最多选取所有选项 [ x y... ] * 表示从两个或多个选项中选取多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 对操作内容的描述进行必要的补充和说明 3. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 资料获取方式 您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类 软件配置或维护类等产品资料

5 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍 技术介绍 技术白皮书等 [ 解决方案 ]: 可以获取解决方案类资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料 技术支持 用户支持邮箱 :customer_service@h3c.com 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : info@h3c.com 感谢您的反馈, 让我们做得更好!

6 目录 1 以太网端口配置 端口简介 以太网端口的端口编号规则 管理用以太网口 Combo 端口 以太网端口配置 以太网端口基本配置 配置以太网端口自协商速率 配置以太网端口的流量控制功能 配置端口 up/down 状态抑制时间 配置以太网端口环回测试功能 配置端口组 配置以太网端口的风暴抑制 配置以太网端口统计信息的时间间隔 配置允许长帧通过以太网端口 配置单端口进行环回监测 配置多端口环回监测 配置以太网端口的 MDI 模式 检测以太网端口的连接电缆 配置以太网端口连接模式 以太网端口显示和维护 i

7 1 以太网端口配置 1.1 端口简介 以太网端口的端口编号规则 WX6100E 系列无线控制器的百兆 千兆或万兆端口可采用 3 位或 4 位编号方式 在设备形成 IRF 时各端口采用 4 位编号方式 :interface type A/B/C/D; 在未形成 IRF 时各端口采用 3 位编号方式 : interface type B/C/D A:IRF 中成员设备的编号 ; B: 设备上板卡所在的槽位号 ; C: 某板卡上的子槽位号 ; D: 某板卡上端口的顺序编号 当设备上的主控板为 EWPXM2SRP12GB 时, 交换机将在最大槽位编号后虚拟出两个虚拟业务板插槽, 插槽中的虚拟业务板与主控板对应, 虚拟业务板上的以太网端口对应主控板上的以太网端口, 端口编号规则与上述规则一致, 用户对主控板上的以太网端口配置需要在虚拟业务板上进行 本章节中所涉及到的 SFP 口和 XFP 口, 有关其详细介绍请参见 H3C WX6100E 系列无线控制器安装手册 管理用以太网口 1. 管理用以太网口介绍该端口采用 RJ-45 连接器, 可用来连接后台计算机以进行系统的程序加载 调试等工作 2. 管理用以太网口基本配置表 1-1 管理用以太网口基本配置 操作命令说明进入系统视图 system-view - 进入管理用以太网口视图 interface M-Ethernet interface-number - 设置当前管理用以太网口的描述信息 关闭管理用以太网口 description text shutdown 可选缺省情况下, 管理用以太网口的描述信息为 M-Ethernet0/0/0 Interface 可选缺省情况下, 管理用以太网口处于打开状态 1-1

8 1.1.3 Combo 端口 1. Combo 端口介绍 Combo 端口是一个逻辑端口, 一个 Combo 端口对应设备面板上的一个电口和一个光口 电口与其对应的光口均为设备上的以太网端口, 是光电复用关系, 两者不能同时工作 ( 当激活其中的一个端口时, 另一个端口就自动处于禁用状态 ), 用户可根据组网需求选择使用电口或光口 电口和光口有各自对应的端口视图 当用户需要激活电口或光口 配置电口或光口的属性 ( 比如速率 双工等 ) 时, 必须先进入对应的端口视图 2. 配置准备 通过 display port combo 命令了解设备上有哪些 Combo 端口, 每个 Combo 端口是由哪两个物理端口组成的 通过 display interface 命令了解组成 Combo 端口的两个物理端口中谁是电口谁是光口 如果显示信息中包含 Media type is twisted pair, Port hardware type is 1000_BASE_T, 则表示该端口为电口 ; 如果显示信息中包含 Media type is not sure, Port hardware type is No connector, 则表示该端口为光口 3. 配置 Combo 端口的状态表 1-2 配置双 Combo 端口的状态 操作命令说明进入系统视图 system-view - 进入以太网端口视图 激活 Combo 端口 interface interface-type interface-number undo shutdown - 可选缺省情况下,Combo 端口之中编号较小的物理端口处于激活状态 Combo 端口中的千兆 / 百兆 SFP 端口不支持 SFP-GE-T 可插拔模块 有关可插拔模块介绍, 请参见 H3C WX6100E 系列无线控制器安装手册 若对 Combo 端口中处于 Active 状态的端口配置了以太网端口环回测试功能, 则无法使用 undo shutdown 命令激活 Combo 端口中的另一个端口, 即不能实现光口和电口的 Active 状态切换 1.2 以太网端口配置 以太网端口基本配置设置以太网端口的双工模式时存在三种情况 : 当希望端口在发送数据包的同时可以接收数据包, 可以将端口设置为全双工 (full) 属性 ; 当希望端口同一时刻只能发送数据包或接收数据包时, 可以将端口设置为半双工 (half) 属性 ; 当设置端口为自协商 (auto) 状态时, 端口的双工状态由本端口和对端端口自动协商而定 1-2

9 设置以太网端口的速率时, 当设置端口速率为自协商 (auto) 状态时, 端口的速率由本端口和对端端口双方自动协商而定 对于百兆或者千兆以太网端口, 可以根据端口的速率自协商能力, 指定自协商速率, 让速率在指定范围内协商, 具体配置请参见 配置以太网端口自协商速率 表 1-3 以太网端口基本配置操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置当前端口的描述信息 设置以太网端口的双工模式 设置以太网端口的速率 关闭以太网端口 interface interface-type interface-number description text duplex { auto full half } speed { auto } shutdown - 可选 缺省情况下, 端口的描述信息为 端口名 Interface, 比如 :GigabitEthernet2/0/1 Interface 可选 光类型端口和配置了端口速率为 1000 的以太网电口不支持配置 half 参数缺省情况下, 以太网端口的双工模式为 auto( 自协商 ) 状态 万兆 XFP 口不支持此命令 可选光类型端口不支持配置 10 参数 缺省情况下, 以太网端口的速率为 auto ( 自协商 ) 状态 万兆 XFP 口不支持此命令 可选缺省情况下, 端口处于打开 (up) 状态 如果想打开端口, 可以使用 undo shutdown 命令 配置以太网端口自协商速率通常情况下, 设备以太网端口速率是通过和对端自协商决定的 协商得到的速率是双方支持的最高速率 通过配置自协商速率可以让以太网端口在能力范围内只协商部分速率, 从而可以控制速率的协商 1-3

10 图 1-1 以太网端口自协商速率应用示意图 如图 1-1 所示, 服务器群 (Server 1 Server 2 和 Server 3) 的网卡速率均为 1000Mbps, 但服务器群与外部网络相连端口 (GigabitEthernet2/0/4) 的速率也为 1000Mbps 如果在设备上不指定自协商速率范围, 则端口 (GigabitEthernet2/0/1 GigabitEthernet2/0/2 和 GigabitEthernet2/0/3) 和服务器速率协商的结果将为 1000Mbps, 这样就可能造成出端口 (GigabitEthernet2/0/4) 拥塞 此时可以设置端口 GigabitEthernet2/0/1 GigabitEthernet2/0/2 和 GigabitEthernet2/0/3 的自协商速率范围为 100Mbps, 来避免出端口的拥塞 表 1-4 配置以太网端口自协商速率操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置以太网端口的自协商速率范围 interface interface-type interface-number speed auto [ ] * - 可选 本特性只有具备自协商速率能力的 百兆或千兆以太网电口支持 如果多次使用 speed speed auto 命令设置端口的速率, 则最新配置生效 配置以太网端口的流量控制功能以太网端口流量控制功能的基本原理是 : 如果本端设备发生拥塞, 它将向对端设备发送消息, 通知对端设备暂时停止发送报文 ; 而对端设备在接收到该消息后将暂时停止向本端发送报文 ; 反之亦然 从而避免了报文丢失现象的发生 配置 flow-control 命令后, 设备具有发送和接收流量控制报文的能力 : 当本端发生拥塞时, 设备会向对端发送流量控制报文 ; 当本端收到对端的流量控制报文后, 会停止报文发送 1-4

11 表 1-5 开启以太网端口的流量控制功能 操作命令说明 进入系统视图 system-view - 进入以太网端口视图 开启以太网端口的流量控制功能 interface interface-type interface-number flow-control - 必选 缺省情况下, 以太网端口的接收流量控制功能处于关闭状态 配置端口 up/down 状态抑制时间以太网端口有两种物理连接状态 :up 和 down 一般情况下, 端口的物理连接状态在 up 与 down 之间切换时, 物理层会向系统报告物理端口连接状态的变化 端口 up/down 状态抑制功能用于避免因端口在短时间内频繁改变物理连接状态, 给系统带来额外的开销 1. 配置以太网端口 up/down 状态抑制时间 (1) 以太网端口 down 状态抑制若在端口上配置了以太网端口 down 状态抑制时间后, 每次当端口的物理连接状态从 up 变为 down 时, 便触发以太网端口 down 状态抑制机制, 在该抑制时间内, 系统认为端口仍然处于 up 状态 当 down 状态抑制时间到达后, 若端口状态仍然为 down 时, 物理层再向系统报告物理连接状态的变化 表 1-6 设置以太网端口 down 状态抑制时间 操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置当前端口 down 状态抑制时间 interface interface-type interface-number link-delay delay-time - 必选 缺省情况下, 没有使能端口 down 状态抑制时间功能 (2) 以太网端口 up 状态抑制 若在端口上配置了以太网端口 up 状态抑制时间后, 每次当端口的物理连接状态从 down 变为 up 时, 便触发以太网端口 up 状态抑制机制, 在该抑制时间内, 系统认为端口仍然处于 down 状态 当 up 状态抑制时间到达后, 若端口状态仍然为 up 时, 物理层再向系统报告物理连接状态的变化 表 1-7 配置以太网端口 up 状态抑制时间 操作 命令 说明 进入系统视图 system-view - 进入以太网视图 interface interface-type interface-number - 设置当前端口 up 状态抑制时间 link-delay delay-time mode up 必选缺省情况下, 没有使能端口 up 状态抑制时间功能 1-5

12 link-delay mode up 和 link-delay 命令相互覆盖, 即若在同一端口上多次使用这两条命令设置抑制时间, 只有最新配置生效 link-delay/link-delay mode up 命令对自然关闭 / 开启的端口有效, 对手工关闭 / 开启 ( 使用 shutdown/undo shutdown 命令 ) 的端口无效 配置以太网端口环回测试功能以太网端口环回测试包括两种测试模式 : 内部环回测试模式和外部环回测试模式 内部环回测试模式 : 端口设置为该模式后, 需要从该端口转发出去的报文将通过该端口被返回给交换芯片, 如图 1-2 所示 ( 在 Port 2 上配置了内部回测试功能 ) 该功能用以定位设备是否出现故障 图 1-2 内部环回测试 外部环回测试模式 : 又叫远端环回测试模式, 端口设置为该模式后, 从该端口上接收到的报文将被直接返回给发送端, 如图 1-3 所示 ( 在 Port 1 上配置了外部回测试功能 ) 该功能用以定位设备间链路是否出现故障 图 1-3 外部环回测试 环回测试功能可以用来检测 MPLS L2VPN QinQ 等环境下的链路的连通性和传输性能 1-6

13 表 1-8 配置以太网端口环回测试功能 操作命令说明 进入系统视图 system-view - 进入以太网端口视图 配置以太网端口进行环回测试 interface interface-type interface-number loopback { external internal } - 可选缺省情况下, 以太网端口环回测试功能处于关闭状态 端口关闭状态 ( 端口状态显示为 DOWN) 下可以进行内部环回测试, 但不能进行外部环回测试 手工关闭 ( 端口状态显示为 ADM 或者 Administratively DOWN) 时, 则不能进行内部和外部环回测试 在进行环回测试时系统将禁止在端口上进行 speed duplex mdi 和 shutdown 命令的配置 ; 以太网端口开启环回测试功能时将工作在全双工状态 ; 关闭环回测试功能后恢复原有配置 百兆以太网端口不支持外部环回测试模式 配置端口组对某些功能 ( 比如 配置以太网端口的风暴抑制比等 ), 设备支持多种配置方式 : 用户可以一次配置一个端口, 也可以一次配置多个端口 端口组就是为了实现一次可以配置多个端口而产生的 在端口组视图下, 用户只需输入一次配置命令, 则该端口组内的所有端口都会配置该功能, 以减少重复配置工作 端口组由用户手工创建生成, 用户可将多个以太网端口手工加入同一个端口组中 端口组提供了一种批量配置的方式, 系统不支持查看 保存端口组本身的配置, 但可以通过 display current-configuration 或者 display this 命令查看成员端口下当前生效配置 表 1-9 配置手工端口组 操作命令说明进入系统视图 system-view - 创建手工端口组, 并进入手工端口组视图 添加以太网端口到指定手工端口组中 关闭该端口组内的所有以太网端口 port-group manual port-group-name group-member interface-list shutdown 必选 必选 可选 缺省情况下, 端口组内的以太网端口为激活状态手工关闭端口组内的以太网端口后, 如果想激活端口组内的所有端口, 可在端口组视图下使用 undo Shutdown 命令 1-7

14 1.2.7 配置以太网端口的风暴抑制当网络中有大量的广播 / 组播 / 未知单播流量通过以太网端口时, 会在端口上产生流量风暴, 可能导致网络的拥塞 目前有两种抑制风暴方法 : 配置端口的风暴抑制比 ; 配置端口的流量阈值 1. 配置以太网端口的风暴抑制比用户可以通过在端口上配置风暴抑制比来限制以太网端口上允许通过的广播 / 组播 / 未知单播流量的大小 在端口下进行配置, 设置的是端口允许通过的最大广播 / 组播 / 未知单播报文流量 当端口上的广播 / 组播 / 未知单播流量超过用户设置的值后, 系统将丢弃超出广播 / 组播 / 未知单播流量限制的报文, 从而使端口广播 / 组播 / 未知单播流量所占的比例降低到限定的范围, 保证网络业务的正常运行 对不同类型的报文进行风暴控制时, 可通过配置风暴抑制比的方式或通过配置端口流量阈值控制功能 storm-constrain 的方式实现, 但对于同一类型的报文进行风暴控制时, 这两种方式不能同时使用, 否则抑制效果不确定 表 1-10 配置以太网端口的风暴抑制比 操作命令说明 进入系统视图 system-view - 进入以太网端口视图或端口组视图 进入以太网端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一在以太网端口视图下的配置, 只在当前端口下生效 ; 在端口组视图下的配置在端口组中的所有端口生效 配置以太网端口的广播风暴抑制比 配置以太网端口的组播风暴抑制比例 配置以太网端口的未知单播风暴抑制比 broadcast-suppression { ratio pps max-pps kbps max-bps } multicast-suppression { ratio pps max-pps kbps max-bps } unicast-suppression { ratio pps max-pps kbps max-bps } 可选 缺省情况下, 所有端口不对广播流量进行抑制 可选缺省情况下, 所有端口不对组播流量进行抑制 可选缺省情况下, 所有端口不对未知单播流量进行抑制 如果端口属于某个端口组, 在以太网端口视图或端口组视图下多次配置不同的抑制比数值时, 则最新的配置生效 2. 配置以太网端口流量阈值控制功能 (1) 端口流量阈值控制简介 1-8

15 端口流量阈值控制功能用于控制以太网上的报文风暴 启用该功能的端口会定时分别检测到达端口的未知单播报文流量 组播报文流量和广播报文流量 如果某类报文流量超过预先设置的上限阈值时, 用户可以通过配置来决定是阻塞该端口还是关闭该端口, 以及是否发送 Trap 和 Log 信息 对于某种类型的报文流量, 可以通过该功能或者以太网端口的风暴抑制功能 ( 请参见 1. 配置以太网端口的风暴抑制比 ) 来进行抑制, 但是这两种功能不能同时配置, 否则抑制效果不确定 比如, 不能同时配置端口的未知单播报文流量阈值控制功能和未知单播风暴抑制比功能 当某种类型的报文流量超过该类报文预设的上限阈值时, 系统提供了两种处理方式 : block 方式 : 如果端口上未知单播 组播或广播中某类报文流量大于上限阈值, 端口将暂停转发该类报文 ( 其它类型报文照常转发 ), 端口处于阻塞状态, 但端口仍然统计该类报文的流量 当该类报文流量小于预设的下限阈值时, 端口会恢复对此类报文的转发 shutdown 方式 : 如果端口上未知单播 组播或广播中某类报文流量大于上限阈值, 端口将被关闭, 系统将停止转发所有报文 可以通过执行 undo shutdown 命令恢复端口状态, 也可通过取消端口流量阈值配置进行恢复 (2) 配置以太网端口流量阈值控制功能表 1-11 配置以太网端口流量阈值控制功能操作命令说明进入系统视图 system-view - 配置端口流量统计时间间隔 storm-constrain interval seconds 可选缺省情况下, 端口流量统计时间间隔为 10 秒 进入以太网端口视图 interface interface-type interface-number - 开启端口流量阈值控制功能, 并设置上限阈值与下限阈值 配置端口流量大于上限阈值的控制动作 配置端口流量超过上限阈值或者从超上限回落到低于下限阈值时输出 Trap 信息 配置端口流量超过上限阈值或者从超上限回落到低于下限阈值时输出 Log 信息 storm-constrain { broadcast multicast unicast } { pps kbps ratio } max-pps-values min-pps-values storm-constrain control { block shutdown } storm-constrain enable trap storm-constrain enable log 必选缺省情况下, 端口不进行流量阈值控制 可选 缺省情况下, 端口不进行流量阈值控制 可选缺省情况下, 端口流量超过上限阈值或者从超上限回落到低下限阈值输出 Trap 信息 可选缺省情况下, 端口流量超过上限阈值或者从超上限回落到低于下限阈值输出 Log 信息 1-9

16 为了保持网络状态的稳定, 建议设置的流量统计时间间隔不低于默认值 本特性实现中系统需要一个完整的周期 ( 周期长度为 seconds) 来收集流量数据, 下一个周期分析数据 采取相应的控制措施 因此, 开启端口流量阈值控制功能后, 如果某类报文流量超过预先设置的上限阈值, 控制动作最短将在一个周期后执行, 最长不会超过两个周期 在同一个端口下, 可以分别对未知单播 组播和广播报文开启流量阈值控制功能, 并设置上限阈值与下限阈值 配置以太网端口统计信息的时间间隔使用以下的配置任务可以设置统计以太网端口报文信息的时间间隔 使用 display interface 命令可以显示端口在该间隔时间内统计的报文信息 使用 reset counters interface 命令可以清除端口的统计信息 表 1-12 配置以太网端口统计信息的时间间隔 操作命令说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置端口统计信息的时间间隔 flow-interval interval 可选端口统计信息的缺省时间间隔为 300 秒 配置允许长帧通过以太网端口以太网端口在进行文件传输等大吞吐量数据交换的时候, 可能会收到大于标准以太网帧长的长帧, 对于这样的长帧, 系统会直接丢弃不再进行处理 配置允许长帧通过功能后, 当端口收到大于标准长度又在参数指定长度范围内的长帧时, 系统会继续处理 用户可以通过以太网端口视图或端口组视图下的配置方式设置允许指定长度的长帧通过以太网端口 : 在以太网端口视图下执行该命令, 则该配置只在当前端口下生效 ; 在端口组视图下执行该命令, 则该配置在端口组中的所有端口下生效 表 1-13 配置允许长帧通过以太网端口 操作命令说明进入系统视图 system-view - 设置允许长帧通过 端口组下的配置 以太网端口下的配 port-group manual port-group-name jumboframe enable [ value ] interface interface-type interface-number 可选缺省情况下, 系统允许最大长度为 1536 字节的帧通过以太网端口 1-10

17 操作命令说明 置 jumboframe enable [ value ] 对端口组内的端口, 在以太网端口视图或端口组视图下多次配置不同的 value 值时, 则最新的配置 生效 配置单端口进行环回监测单端口发生环回是指端口发送出去的报文又从该端口回到设备, 环回的存在可能导致广播风暴 环回监测就是监测设备端口是否有环回存在 当用户开启以太网端口环回监测功能后, 如果监测到端口存在环回, 设备会根据环回监测动作对该端口进行相应的操作, 并发送 Trap 信息 (1) 对于 Access 端口, 如果系统发现端口被环回 : 若端口未配置环回监测动作 ( 未使用 loopback-detection action 命令指定监测动作 ), 则将端口变为监测受控状态, 处于该状态的端口入方向报文将被丢弃处理, 不进行转发, 而该端口出方向的报文不受影响, 并生成 Trap 信息, 同时删除该端口对应的 MAC 地址转发表项 ; 若端口配置了环回监测动作 ( 使用 loopback-detection action 命令指定了监测动作 ), 则端口按照环回监测动作对端口进行处理, 并生成 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项 ; (2) 对于 Trunk 端口和 Hybrid 端口, 如果系统发现端口被环回 : 若端口未配置环回监测动作, 则生成 Trap 信息 当端口环回监测受控功能也同时开启时, 则将端口变为监测受控状态, 处于该状态的端口入方向报文将被丢弃, 出方向报文不受影响, 并生成 Trap 信息, 同时删除该端口对应的 MAC 地址转发表项 若端口配置了环回监测动作, 则生成 Trap 信息和日志信息 当端口环回监测受控功能也同时开启时, 端口按照环回监测动作对端口进行处理, 并向终端上报 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项 表 1-14 配置以太网单端口进行环回监测 操作命令说明进入系统视图 system-view - 开启全局的端口环回监测功能 设置端口环回监测的时间间隔 loopback-detection enable loopback-detection interval-time time 必选缺省情况下, 全局的端口环回监测功能处于关闭状态 可选缺省情况下, 端口环回监测的时间间隔为 30 秒 进入以太网端口视图或端口组视图 进入以太网端口视图 interface interface-type interface-number 二者必选其一在以太网端口视图下的配置, 只在当前端口下生效 ; 在端口组视图下 1-11

18 操作命令说明 进入端口组视图 port-group manual port-group-name 的配置在端口组中的所有端口生效 开启指定端口的环回监测功能 开启 Trunk 端口和 Hybrid 端口的环回监测受控功能 配置在 Trunk 端口和 Hybrid 端口允许通过的所有 VLAN 内进行环回监测 配置在发现端口环回后对端口进行的动作 loopback-detection enable loopback-detection control enable loopback-detection per-vlan enable loopback-detection action { no-learning semi-block shutdown } 必选缺省情况下, 端口环回监测功能处于关闭状态 可选缺省情况下, 端口的环回监测受控功能处于关闭状态 可选 缺省情况下, 系统只在 Trunk 端口和 Hybrid 端口的缺省 VLAN 内进行环回监测 可选缺省情况下, 对被环回端口进行的动作为 : 端口入方向报文将被丢弃, 出方向报文不受影响, 并生成 Trap 信息, 同时删除该端口对应的 MAC 地址转发表项 如果指定动作为 shutdown, 则被环回的端口会被系统关闭, 端口物理状态为 Loop down 环回消除后, 需要手工执行 undo shutdown 命令才能恢复端口的转发能力 只有在系统视图下和指定端口视图下均配置了 loopback-detection enable 命令后, 才开启单端口的环回监测功能 当在系统视图下配置 undo loopback-detection enable 后, 所有端口的环回监测功能均被关闭 对于 Trunk 端口或 Hybrid 端口, 在指定端口视图下配置了 loopback-detection control enable 命令后, 该端口的环回监测动作才生效 当使用 port link-type { access hybrid trunk } 命令修改端口的链路类型后, 该端口下的 loopback-detection action 配置会自动恢复到缺省情况 (port link-type 命令的详细介绍请参见 二层技术 - 以太网交换命令参考 中的 VLAN 配置命令 ) 配置多端口环回监测端口间发生环回是指设备上某端口发送出去的报文又从该设备的另一个端口环回到本设备, 如图 1-4 所示,Port 1 收到来自 Port 2 的报文, 则认为 Port 1 与 Port 2 之间存在环回 ( 接收到环回报文的端口 Port 1 为被环回端口 ) 端口间环回的存在也可能导致广播风暴 1-12

19 图 1-4 多端口环回监测示意图 Switch A Port 1 Port 2 Loop LAN 多端口环回监测就是监测设备上端口之间是否有环回存在, 如果监测到端口间存在环回, 设备会根据环回监测动作对被环回端口 ( 如 Port 1) 进行相应的操作, 具体的处理方式请参见 配置单端口进行环回监测 通过对端口进行如上处理后, 从而可消除设备上端口间的环回 多端口环回监测功能的实现依赖于单端口环回监测配置 在指定的单个或多个端口上配置完单端口环回监测功能后, 再进行如下配置, 即可实现多端口环回监测 单端口环回监测功能配置请参见 配置单端口进行环回监测表 1-15 配置多端口环回监测操作命令说明进入系统视图 system-view - 开启多端口环回监测模式 loopback-detection multi-port-mode enable 必选 缺省情况下, 多端口环回监测模式处于关闭状态 只有在系统视图下配置了 loopback-detection multi-port-mode enable 和 loopback-detection enable, 及在指定端口视图下配置了 loopback-detection enable 命令后, 才能开启多端口的环回监测功能 设备在实现多端口环回测试的同时, 也可进行单端口环回监测 配置以太网端口的 MDI 模式 光口不支持本特性 用于连接以太网设备的双绞线有两种 : 直通线缆 (straight-through cable) 和交叉线缆 (crossover cable) 为了使以太网端口支持使用这两种线缆, 设备实现了三种 MDI(Medium Dependent Interface, 介质相关端口 ) 模式 :across normal 和 auto 1-13

20 物理以太网端口由 8 个引脚组成, 缺省情况下, 每个引脚都有专门的作用, 比如, 使用引脚 1 和 2 发送信号, 引脚 3 和 6 接收信号 通过设置 MDI 模式, 可以改变引脚在通信中的角色 使用 normal 模式时, 不改变引脚的角色, 即使用引脚 1 和 2 发送信号, 使用引脚 3 和 6 接收信号 ; 如果使用 across 模式, 会改变引脚的角色, 将使用引脚 1 和 2 接收信号, 而使用引脚 3 和 6 发送信号 只有将设备的发送引脚连接到对端的接收引脚后才能正常通信, 所以 MDI 模式需要和两种线缆配合使用 通常情况下, 建议用户使用 auto 模式, 只有当设备不能获取网线类型参数时, 才需要将模式手工指定为 across 或 normal 当使用直通线缆时, 两端设备的 MDI 模式配置不能相同 当使用交叉线缆时, 两端设备的 MDI 模式配置必须相同或者至少有一端设置为 auto 模式 表 1-16 配置以太网端口的 MDI 模式操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置以太网端口的 MDI 模式 interface interface-type interface-number mdi { across auto normal } - 可选 以太网端口的 MDI 模式为 auto, 即通过协商来决定物理引脚的角色 ( 发送报文或接收报文 ) 检测以太网端口的连接电缆 光口不支持本特性 在以太网端口上执行该操作会使得已经 up 的链路自动 down up 一次 通过以下配置任务, 用户可以检测设备上以太网端口连接电缆的当前状况, 系统将在 5 秒内返回检测结果 检测内容包括电缆的接收方向 发送方向以及是否存在短路 / 开路现象, 同时可以检测出故障线缆的长度 表 1-17 检测以太网端口的连接电缆操作命令说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 对以太网端口连接电缆进行一次检测 virtual-cable-test 必选 1-14

21 配置以太网端口连接模式 仅内部万兆端口配置该命令有效 当用户配置 OAA 应用时候, 需要将设备内部和插卡相连的万兆端口配置为扩展连接模式 (extend) 才能够保证设备和插卡间的正常通信 表 1-18 配置以太网端口连接模式 操作 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 必选 配置以太网端口连接模式 port connection-mode { extend normal } 缺省情况下, 端口连接模式为正常连接模式 (normal) 1.3 以太网端口显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后端口的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除端口统计信息 表 1-19 以太网端口显示和维护 操作 显示指定端口当前的运行状态和相关信息 显示指定端口的端口概要信息 显示端口的报文流量统计信息 显示最近一个抽样间隔内处于 up 状态的端口的报文速率统计信息 显示指定端口丢弃报文的信息 显示所有端口丢弃报文摘要的信息 显示当前设备的 Combo 口及其光口和电口的对应关系 显示指定手工端口组或所有手工端口组的信息 命令 display interface [ interface-type [ interface-number ] ] [ { begin exclude include } regular-expression ] display interface [ interface-type [ interface-number ] ] brief [ { begin exclude include } regular-expression ] display interface [ interface-type ] brief down [ { begin exclude include } regular-expression ] display counters { inbound outbound } interface [ interface-type ] [ { begin exclude include } regular-expression ] display counters rate { inbound outbound } interface [ interface-type ] [ { begin exclude include } regular-expression ] display packet-drop interface [ interface-type [ interface-number ] ] [ { begin exclude include } regular-expression ] display packet-drop summary [ { begin exclude include } regular-expression ] display port combo [ { begin exclude include } regular-expression ] display port-group manual [ all name port-group-name ] [ { begin exclude include } regular-expression ] 1-15

22 操作 显示端口环回监测功能的开启情况和相关信息 显示端口流量控制信息 命令 display loopback-detection [ { begin exclude include } regular-expression ] display storm-constrain [ broadcast multicast unicast ] [ interface interface-type interface-number ] [ { begin exclude include } regular-expression ] 清除指定端口的统计信息 reset counters interface [ interface-type [ interface-number ] ] 清除指定端口丢弃报文的统计信息 reset packet-drop interface [ interface-type [ interface-number ] ] 1-16

23 目录 1 Loopback 接口和 NULL 接口配置 Loopback 接口 Loopback 接口简介 配置 Loopback 接口 Null 接口 Null 接口简介 配置 Null 接口 Loopback 接口和 Null 接口显示和维护 i

24 1 Loopback 接口和 NULL 接口配置 1.1 Loopback 接口 Loopback 接口简介 Loopback 接口是一种纯软件性质的虚拟接口 Loopback 接口具有以下特点 : Loopback 接口创建后除非手工关闭该接口, 否则 Loopback 接口物理层状态和链路层协议永远处于 UP 状态 Loopback 接口可以配置掩码为全 f 的 IP 地址, 以便节约 IP 地址 当配置 IPv4 地址时, 子网掩码必须是 32 位的 如果配置的子网掩码不是 32 位的, 系统会自动修改为 32; 同样, 当配置 IPv6 地址时, 子网掩码必须是 128 位的 如果配置的掩码不是 128 位的, 系统会自动修改为 128 Loopback 接口下也可以使能路由协议, 可以收发路由协议报文 鉴于上述特点,Loopback 接口的应用非常广泛, 主要表现在 : 将 Loopback 接口地址设置为该设备产生的 IP 数据包的源地址 因为 Loopback 接口地址稳定且是单播地址, 所以通常将 Loopback 接口地址视为设备的标志 在认证或安全等服务器上设置允许或禁止携带 Loopback 接口地址的报文通过, 就相当于允许或禁止某台设备产生的报文通过, 这样可以简化报文过滤规则 但需要注意的是, 将 Loopback 接口地址用于 IP 数据包源地址时, 需借助路由配置来确保 Loopback 接口到对端的路由可达 另外, 任何送到 Loopback 接口的网络数据报文都会被认为是送往设备本身的, 设备将不再转发这些数据包 因为 Loopback 接口状态稳定 ( 永远处于 UP 状态 ), 该接口还常用于动态路由协议 比如, 在一些动态路由协议中, 当没有配置 Router ID 时, 将选取所有 Loopback 接口上数值最大的 IP 地址作为 Router ID 在 BGP 协议中, 为了使 BGP 会话不受物理接口故障的影响, 可将发送 BGP 报文的源接口配置成 Loopback 接口等 配置 Loopback 接口表 1-1 配置 Loopback 接口 操作命令说明 进入系统视图 system-view - 创建 Loopback 接口并进入 Loopback 接口视图 interface loopback interface-number - 配置接口描述信息 description text 可选 缺省情况下, 接口描述信息为 该 接口的接口名 Interface 手工关闭 Loopback 接口 shutdown 可选 缺省情况下,Loopback 接口创建后 永远处于开启状态 1-1

25 在 Loopback 接口上可以配置 IP 地址 IP 路由等参数, 具体配置请参见 三层技术 -IP 业务配置指 导 和 三层技术 -IP 路由配置指导 1.2 Null 接口 Null 接口简介 Null 接口是一种纯软件性质的逻辑接口 它永远处于 up 状态, 但不能转发数据包, 也不能配置 IP 地址和链路层协议 如果在静态路由中指定到达某一网段的下一跳为 Null 接口时, 则任何送到该网段的网络数据报文都会被丢弃, 因此设备通过 Null 接口提供了一种过滤报文的简单方法 将不需要的网络流量发送到 NULL 接口, 从而免去配置 ACL( 访问控制列表 ) 的复杂工作 例如 : 使用静态路由配置命令 ip route-static null 0 将丢弃所有去往网段 /16 的报文 配置 Null 接口表 1-2 配置 Null 接口 操作命令说明 进入系统视图 system-view - 必选 进入 Null 接口视图 interface null 0 缺省情况下, 设备上已经存在 Null0 接口, 用户不能创 建也不能删除 配置接口描述信息 description text 可选 缺省情况下, 接口描述信息为 该接口的接口名 Interface 1.3 Loopback 接口和 Null 接口显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后接口的运行情况, 通过查看显 示信息验证配置的效果 在用户视图下执行 reset 命令可以清除接口统计信息 1-2

26 表 1-3 Loopback 接口和 Null 接口显示和维护 操作 显示 Loopback 接口的相关信息 显示 Null 接口的状态信息 命令 display interface loopback [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface loopback interface-number [ brief ] [ { begin exclude include } regular-expression ] display interface null [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface null 0 [ brief ] [ { begin exclude include } regular-expression ] 清除 Loopback 接口的统计信息 reset counters interface [ loopback [ interface-number ] ] 清除 Null 接口的统计信息 reset counters interface [ null [ 0 ] ] 1-3

27 目录 1 MAC 地址表配置 MAC 地址表简介 MAC 地址表项的生成方式 MAC 地址表项的分类 基于 MAC 地址表的报文转发 配置 MAC 地址表 配置 MAC 地址表项 关闭 MAC 地址学习功能 配置动态 MAC 地址表项的老化时间 配置端口最多可以学习到的 MAC 地址数 MAC 地址表显示和维护 MAC 地址表典型配置举例 MAC Information 配置 MAC Information 简介 MAC Information 介绍 MAC Information 的工作机制 配置 MAC Information 功能 使能全局 MAC Information 功能 使能基于端口的 MAC Information 功能 配置 MAC Information 工作模式 配置发送 Syslog 或 Trap 信息的时间间隔 配置 MAC Information 缓存队列长度 MAC Information 典型配置举例 MAC Information 典型配置举例 i

28 1 MAC 地址表配置 MAC 地址表中对于端口的相关配置, 目前只能在二层以太网端口以及二层聚合端口等二层端口上进行 本章节内容只涉及单播的静态 动态和黑洞 MAC 地址表项的配置 有关静态组播 MAC 地址表项的相关介绍和配置内容, 请参见 IP 组播配置指导 中的 组播路由与转发配置 和 IPv6 组播路由与转发配置 1.1 MAC 地址表简介 MAC 地址表记录了与该设备相连的设备的 MAC 地址 与该设备相连的设备的端口号以及所属的 VLAN ID 在转发数据时, 设备根据报文中的目的 MAC 地址查询 MAC 地址表, 快速定位出端口, 从而减少广播 MAC 地址表项的生成方式 MAC 地址表项的生成方式有两种 : 自动生成 手工配置 1. 自动生成 MAC 地址表项一般情况下,MAC 地址表是设备通过源 MAC 地址学习过程而自动建立的 设备学习 MAC 地址的方法如下 : 如果从某端口 ( 假设为端口 A) 收到一个数据帧, 设备就会分析该数据帧的源 MAC 地址 ( 假设为 MAC-SOURCE), 并认为目的 MAC 地址为 MAC-SOURCE 的报文可以由端口 A 转发 ; 如果 MAC 地址表中已经包含 MAC-SOURCE, 设备将对该表项进行更新 ; 如果 MAC 地址表中尚未包含 MAC-SOURCE, 设备则将这个新 MAC 地址以及该 MAC 地址对应的端口 A 作为一个新的表项加入到 MAC 地址表中 为适应网络的变化,MAC 地址表需要不断更新 MAC 地址表中自动生成的表项并非永远有效, 每一条表项都有一个生存周期, 到达生存周期仍得不到刷新的表项将被删除, 这个生存周期被称作老化时间 如果在到达生存周期前纪录被刷新, 则该表项的老化时间重新计算 2. 手工配置 MAC 地址表项设备通过源 MAC 地址学习自动建立 MAC 地址表时, 无法区分合法用户和黑客用户的报文, 带来了安全隐患 如果黑客用户将攻击报文的源 MAC 地址伪装成合法用户的 MAC 地址, 并从设备的其它端口进入, 设备就会学习到错误的 MAC 地址表项, 于是就会将本应转发给合法用户的报文转发给黑客用户 为了提高端口安全性, 网络管理员可手工在 MAC 地址表中加入特定 MAC 地址表项, 将用户设备与端口绑定, 从而防止假冒身份的非法用户骗取数据 手工配置的 MAC 地址表项优先级高于自动生成的表项 MAC 地址表项的分类 MAC 地址表项分为 : 静态 MAC 地址表项 动态 MAC 地址表项和黑洞 MAC 地址表项 1-1

29 静态 MAC 地址表项由用户手工配置, 表项不老化 ; 黑洞 MAC 地址表项用于丢弃含有特定源 MAC 地址或目的 MAC 地址的报文 ( 例如, 出于安全考虑, 可以屏蔽某个用户接收报文 ), 由用户手工配置, 表项不老化 ; 动态 MAC 地址表项包括用户配置的以及设备通过源 MAC 地址学习得来的, 表项有老化时间 用户手工配置的静态 MAC 地址表项和黑洞 MAC 地址表项不会被动态 MAC 地址表项覆盖, 而动态 MAC 地址表项可以被静态 MAC 地址表项和黑洞 MAC 地址表项覆盖 基于 MAC 地址表的报文转发设备在转发报文时, 根据 MAC 地址表项信息, 会采取以下两种转发方式 : 单播方式 : 当 MAC 地址表中包含与报文目的 MAC 地址对应的表项时, 设备直接将报文从该表项中的转发出端口发送 广播方式 : 当设备收到目的地址为全 1 的报文, 或 MAC 地址表中没有包含对应报文目的 MAC 地址的表项时, 设备将采取广播方式将报文向除接收端口外的所有端口进行转发 1.2 配置 MAC 地址表 以下配置均为可选配置, 且配置过程无先后顺序, 用户可以根据实际情况选择配置 配置 MAC 地址表项一般情况下, 设备通过源 MAC 地址学习过程自动建立 MAC 地址表 为了提高端口安全性, 网络管理员可手工在 MAC 地址表中加入特定 MAC 地址表项, 将用户设备与端口绑定, 从而防止假冒身份的非法用户骗取数据 另外, 如果需要丢弃指定源 MAC 地址或目的 MAC 地址的报文, 可配置黑洞 MAC 地址表项 表 1-1 全局配置 MAC 地址表项操作命令说明进入系统视图 system-view - 全局配置 MAC 地址表项 配置动态或静态 MAC 地址表项 mac-address { dynamic static } mac-address interface interface-type interface-number vlan vlan-id 必选 配置黑洞 MAC 地址表项 mac-address blackhole mac-address vlan vlan-id 在添加 MAC 地址表项时, 命令中 interface 参数指定的端口必须属于 vlan 参数指定的 VLAN, 而 且该 VLAN 必须事先创建, 否则将添加失败 1-2

30 表 1-2 端口配置 MAC 地址表项操作 命令 说明 进入系统视图 system-view - 进入端口视图 interface interface-type interface-number - 添加 / 修改端口下的 MAC 地址表项 mac-address { dynamic static } mac-address vlan vlan-id 必选 在添加 MAC 地址表项时, 当前的端口必须属于命令中 vlan 参数指定的 VLAN, 而且该 VLAN 必须 事先创建, 否则将添加失败 关闭 MAC 地址学习功能有时为了保证设备的安全, 需要关闭 MAC 地址学习功能 常见的危及设备安全的情况是 : 黑客使用大量源 MAC 地址不同的报文攻击设备, 导致设备 MAC 地址表资源耗尽, 造成设备无法根据网络的变化更新 MAC 地址表 关闭 MAC 地址学习功能可以有效防止这种攻击 1. 关闭全局的 MAC 地址学习功能关闭全局的 MAC 地址学习功能的同时也就关闭了全部端口的 MAC 地址学习功能 表 1-3 关闭全局 MAC 地址学习功能 操作命令说明进入系统视图 system-view - 关闭全局的 MAC 地址的学习功能 mac-address mac-learning disable 必选 缺省情况下, 开启全局的 MAC 地址学习功能 关闭 MAC 地址学习功能后, 已经学习到的 MAC 地址表项将继续有效直至老化 2. 关闭端口的 MAC 地址学习功能在开启全局的 MAC 地址学习功能的前提下, 用户可以关闭设备上的单个端口或者端口组的 MAC 地址学习功能 表 1-4 关闭端口的 MAC 地址学习功能操作命令说明进入系统视图 system-view - 开启全局的 MAC 地址学习功能 undo mac-address mac-learning disable 可选 缺省情况下, 开启全局的 MAC 地址学习功能 1-3

31 操作命令说明 进入二层以太网端口 二层聚合端口或者端口组视图 进入二层以太网端口 二层聚合端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一进入二层以太网端口或二层聚合端口视图后, 下面进行的配置只在当前端口生效 ; 进入端口组视图后, 下面进行的配置将在端口组的所有端口生效 关闭端口的 MAC 地址学习功能 mac-address mac-learning disable 必选 缺省情况下, 开启端口的 MAC 地址学习功能 关闭 MAC 地址学习功能后, 已经学习到的 MAC 地址表项将继续有效直至老化 端口组相关的配置请参考 二层技术 - 以太网交换配置指导 中的 以太网端口 3. 关闭 VLAN 的 MAC 地址学习功能用户可以关闭设备上的指定 VLAN 的 MAC 地址学习功能 表 1-5 关闭 VLAN 的 MAC 地址学习功能操作命令说明进入系统视图 system-view - 开启全局的 MAC 地址学习功能 undo mac-address mac-learning disable 可选 缺省情况下, 开启全局的 MAC 地址学习功能 进入 VLAN 视图 vlan vlan-id - 关闭 VLAN 的 MAC 地址学习功能 mac-address mac-learning disable 必选 缺省情况下, 开启 VLAN 的 MAC 地址学习功能 关闭 MAC 地址学习功能后, 已经学习到的 MAC 地址表项将继续有效直至老化 关闭指定 VLAN 的 MAC 地址学习功能时, 如果此 VLAN 已经被配置为 Isolate-user-VLAN, 则用户需要在此 VLAN 和与其对应的 Secondary VLAN 里同时关闭 MAC 地址学习功能 有关 Isolate-user-VLAN 的相关介绍和配置内容, 请参见 二层技术 - 以太网交换配置指导 中的 Isolate-user-VLAN 配置 1-4

32 1.2.3 配置动态 MAC 地址表项的老化时间当网络拓扑改变后, 动态 MAC 地址表项不会及时自动更新 这样, 由于设备学习不到新的 MAC 地址, 会导致用户流量不能正常转发 因此, 需要配置动态 MAC 地址表项老化时间 超出设定的老化时间, 动态 MAC 地址表项被自动删除, 设备重新进行 MAC 地址学习, 构建新的动态 MAC 地址表项 配置合适的老化时间可以有效利用 MAC 地址老化功能 用户配置的老化时间过长或者过短, 都可能影响设备的运行性能 : 如果用户配置的老化时间过长, 设备可能会保存许多过时的 MAC 地址表项, 从而耗尽 MAC 地址表资源, 导致设备无法根据网络的变化更新 MAC 地址表 如果用户配置的老化时间太短, 设备可能会删除有效的 MAC 地址表项, 可能导致设备广播大量的数据报文, 影响设备的运行性能 表 1-6 配置动态 MAC 地址表项的老化时间 操作命令说明进入系统视图 system-view - 配置动态 MAC 地址表项的老化时间 mac-address timer { aging seconds no-aging } 可选 缺省情况下,MAC 地址老化时间为 300 秒 动态 MAC 地址表项的老化时间作用于全部端口上, 地址老化只对动态的 ( 设备学习到的或者用户配置的动态的 )MAC 地址表项起作用 在一个比较稳定的网络, 如果长时间没有流量, 动态 MAC 地址表项会被全部删除, 可能导致设备突然广播大量的数据报文, 被他人侦听, 造成安全隐患, 此时可将动态 MAC 地址表项的老化时间设成 no-aging( 即, 不老化 ), 以减少广播, 增加网络稳定性和安全性 配置端口最多可以学习到的 MAC 地址数通过配置以太网端口或端口组最多可以学习到的 MAC 地址数, 用户可以控制设备维护的 MAC 地址表的表项数量 如果 MAC 地址表过于庞大, 可能导致设备的转发性能下降 当端口学习到的 MAC 地址数达到配置的最大值时, 该端口将不再对 MAC 地址进行学习 表 1-7 配置端口最多可以学习到的 MAC 地址数 操作命令说明进入系统视图 system-view - 进入二层以太网端口或者端口组视图 进入二层以太网端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一进入二层以太网端口视图后, 下面进行的配置只在当前端口生效 ; 进入端口组视图后, 下面进行的配置将在端口组的所有端口生效 配置端口最多可以学习到的 MAC 地址数 mac-address max-mac-count count 必选缺省情况下, 没有配置以太网端口 / 端口组最 1-5

33 操作命令说明 多可以学习到的 MAC 地址数 二层链路聚合端口不支持配置端口最多可以学习到的 MAC 地址数 当以太网端口被配置为聚合组的成员端口后, 如果在这些成员端口上配置端口最多可以学习到的 MAC 地址数, 会导致成员端口不能被选中, 因此, 请不要在聚合组的成员端口上配置端口最多可以学习到的 MAC 地址数 1.3 MAC 地址表显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 MAC 地址表的运行情况, 通过查看显示信息验证配置的效果 表 1-8 MAC 地址表显示和维护 操作显示 MAC 地址表信息显示 MAC 地址表动态表项的老化时间显示系统或端口 MAC 地址的学习状态显示 MAC 地址表的统计信息 命令 display mac-address [ mac-address [ vlan vlan-id ] [ [ dynamic static ] [ interface interface-type interface-number ] blackhole ] [ vlan vlan-id ] [ count ] ] [ { begin exclude include } regular-expression ] display mac-address aging-time [ { begin exclude include } regular-expression ] display mac-address mac-learning [ interface-type interface-number ] [ { begin exclude include } regular-expression ] display mac-address statistics [ { begin exclude include } regular-expression ] 1.4 MAC 地址表典型配置举例 1. 组网需求 现有一个用户主机, 它的 MAC 地址为 000f-e235-dc71, 所属 VLAN 为 VLAN 1, 所连的设备端口为 GigabitEthernet2/0/1 为防止 MAC 地址攻击, 在设备的 MAC 地址表中为该用户主机添加一条静态表项 另有一个用户主机, 它的 MAC 地址为 000f-e235-abcd, 所属 VLAN 为 VLAN 1 由于该用户主机曾经接入网络进行非法操作, 为了避免此种情况再次发生, 在设备上添加一条目的黑洞 MAC 地址表项, 使该用户主机接收不到报文 配置设备的动态 MAC 地址表项老化时间为 500 秒 2. 配置步骤 # 增加一个静态 MAC 地址表项 <Sysname> system-view [Sysname] mac-address static 000f-e235-dc71 interface gigabitethernet 2/0/1 vlan 1 1-6

34 # 增加一个目的黑洞 MAC 地址表项 [Sysname] mac-address blackhole 000f-e235-abcd vlan 1 # 配置动态 MAC 地址表项的老化时间为 500 秒 [Sysname] mac-address timer aging 500 # 查看以太网端口 GigabitEthernet2/0/1 上的 MAC 地址表信息 [Sysname] display mac-address interface gigabitethernet 2/0/1 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME 000f-e235-dc71 1 Config static GigabitEthernet 2/0/1 NOAGED mac address(es) found --- # 查看目的黑洞 MAC 地址表信息 [Sysname] display mac-address blackhole MAC ADDR VLAN ID STATE PORT INDEX AGING TIME 000f-e235-abcd 1 Blackhole N/A NOAGED mac address(es) found --- # 查看动态 MAC 地址表项的老化时间 [Sysname] display mac-address aging-time Mac address aging time: 500s 1-7

35 2 MAC Information 配置 2.1 MAC Information 简介 MAC Information 介绍在网络监控中, 需要对加入和离开网络的用户进行监控 由于 MAC 地址能唯一标识一个网络用户, 所以可以通过监控加入和离开网络的 MAC 地址对用户进行跟踪 通过使用 MAC Information 功能, 当二层以太网端口学习到或删除 MAC 地址时会发送 Syslog 或 Trap 信息, 通过对 Syslog 和 Trap 信息的分析, 监控端可以实现对进入网络的用户进行监控 MAC Information 的工作机制当设备学习到一条新的 MAC 地址或删除掉一条已有 MAC 地址时, 设备将 MAC 地址相关信息写入设备的记录用户信息的缓冲区 当用户设定的发送 MAC 监控 Syslog 或 Trap 的时间间隔到期, 或记录用户信息的缓冲区被写满时, 设备立即发送记录的 MAC 地址的 Syslog 或 Trap 信息 2.2 配置 MAC Information 功能 使能全局 MAC Information 功能表 2-1 使能全局 MAC Information 功能 配置步骤命令说明进入系统视图 system-view - 使能全局 MAC Information 功能 mac-address information enable 必选 缺省情况下, 全局 MAC Information 功能处于关闭状态 使能基于端口的 MAC Information 功能表 2-2 使能基于端口的 MAC Information 功能 配置步骤 命令 说明 进入系统视图 system-view - 进入二层以太网端口视图 interface interface-type interface-number - 使能基于端口的 MAC Information 功能 mac-address information enable { added deleted } 必选 缺省情况下, 基于端口的 MAC Information 功能处于关闭状态 2-1

36 当全局 MAC Information 功能未使能时, 即使以太网端口下使能了 MAC Information 功能,MAC Information 功能也处于关闭状态 配置 MAC Information 工作模式表 2-3 配置 MAC Information 工作模式 配置步骤命令说明进入系统视图 system-view - 配置 MAC Information 工作模式 mac-address information mode { syslog trap } 可选 缺省情况下,MAC 变化通知功能采用 Trap 方式发送 配置发送 Syslog 或 Trap 信息的时间间隔为了防止过多的 Syslog 或 Trap 信息干扰用户, 用户可以配置发送 Syslog 或 Trap 信息的时间间隔, 当到达时间间隔时再发送 Syslog 或 Trap 信息 表 2-4 配置发送 Syslog 或 Trap 信息的时间间隔 配置步骤命令说明进入系统视图 system-view - 配置发送 Syslog 或 Trap 信息的时间间隔 mac-address information interval interval-time 可选 缺省情况下, 发送 Syslog 或 Trap 信息的时间间隔为 1 秒 配置 MAC Information 缓存队列长度为了能够不丢失监控的用户信息, 在记录用户信息的缓存被写满时, 即使还未到发送 Syslog 或 Trap 的时间间隔, 也会强制发送缓存中已经记录的用户信息 表 2-5 配置 MAC Information 缓存队列长度 配置步骤命令说明进入系统视图 system-view - 配置 MAC Information 缓存队列长度 mac-address information queue-length value 可选 缺省情况下,MAC Information 缓存队列长度为

37 2.3 MAC Information 典型配置举例 MAC Information 典型配置举例 1. 组网需求 Host A 与远端服务器 Server 通过 Device 相连 ; 在 Device 的 GigabitEthernet2/0/1 上使能 MAC Information 功能,Device 将 MAC 变化信息利用 Syslog 方式通过 GigabitEthernet2/0/3 发送给 Host B,Host B 对接收到的 Syslog 信息进行分析并显示 2. 组网图图 2-1 MAC Information 典型配置组网图 3. 配置步骤 (1) 配置 Device 可以将 Syslog 发送到 Host B 请参见 网络管理和监控配置指导 中的 信息中心配置 (2) 使能 MAC Information 功能 # 全局使能 MAC Information <Device> system-view [Device] mac-address information enabele # 配置 MAC Information 工作模式为 Syslog 方式 [Device] mac-address information mode syslog # 配置端口 GigabitEthernet2/0/1 使能 MAC Information [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] mac-address information enable added [Device-GigabitEthernet2/0/1] mac-address information enable deleted [Device-GigabitEthernet2/0/1] quit # 配置 MAC Information 缓存队列长度为 100 [Device] mac-address information queue-length 100 # 配置 MAC Information 发送时间间隔为 20 秒 [Device] mac-address information interval

38 目录 1 以太网链路聚合配置 以太网链路聚合简介 基本概念 静态聚合模式 动态聚合模式 聚合负载分担类型 以太网链路聚合配置任务简介 配置聚合组 配置静态聚合组 配置动态聚合组 配置板跨板聚合后的 MAC 地址表同步功能 聚合接口相关配置 配置聚合接口描述信息 开启聚合接口链路状态变化 Trap 功能 限制聚合组内选中端口的数量 关闭聚合接口 配置聚合负载分担 配置聚合负载分担类型 配置聚合负载分担为本地转发优先 配置聚合流量重定向功能 以太网链路聚合显示与维护 以太网链路聚合典型配置举例 二层静态聚合配置举例 动态聚合配置举例 聚合负载分担配置举例 i

39 1 以太网链路聚合配置 1.1 以太网链路聚合简介 以太网链路聚合简称链路聚合, 它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路, 从而实现增加链路带宽的目的 同时, 这些捆绑在一起的链路通过相互间的动态备份, 可以有效地提高链路的可靠性 如图 1-1 所示,Device A 与 Device B 之间通过三条以太网物理链路相连, 将这三条链路捆绑在一起, 就成为了一条逻辑链路 Link aggregation 1, 这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和, 从而达到了增加链路带宽的目的 ; 同时, 这三条以太网物理链路相互备份, 有效地提高了链路的可靠性 图 1-1 链路聚合示意图 基本概念 1. 聚合组 成员端口和聚合接口将多个以太网端口捆绑在一起所形成的组合称为聚合组, 而这些被捆绑在一起的以太网端口就称为该聚合组的成员端口 每个聚合组唯一对应着一个逻辑接口, 我们称之为聚合接口 聚合组与聚合接口的编号是一一对应的, 譬如聚合组 1 对应于聚合接口 1 聚合接口的速率和双工模式取决于对应聚合组内的选中端口 ( 请参见 成员端口的状态 ): 聚合接口的速率等于所有选中端口的速率之和, 聚合接口的双工模式则与选中端口的双工模式相同 2. 成员端口的状态聚合组内的成员端口具有以下两种状态 : 选中 (Selected) 状态 : 此状态下的成员端口可以参与用户数据的转发, 处于此状态的成员端口简称为 选中端口 非选中 (Unselected) 状态 : 此状态下的成员端口不能参与用户数据的转发, 处于此状态的成员端口简称为 非选中端口 3. 操作 Key 操作 Key 是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值, 它是根据成员端口上的一些信息 ( 包括该端口的速率 双工模式等 ) 的组合自动计算生成的, 这个信息组合中任何一项的变化都会引起操作 Key 的重新计算 在同一聚合组中, 所有的选中端口都必须具有相同的操作 Key 1-1

40 4. 配置分类根据对成员端口状态的影响不同, 我们可以将成员端口上的配置分为以下三类 : (1) 端口属性类配置 : 包含速率 双工模式和链路状态 (up/down) 这三项配置内容, 是成员端口上最基础的配置内容 (2) 第二类配置 : 包含的配置内容如表 1-1 所示 在聚合组中, 只有与对应聚合接口的第二类配置完全相同的成员端口才能够成为选中端口 表 1-1 第二类配置的内容 配置项 内容 端口隔离 QinQ 配置 VLAN 配置 MAC 地址学习配置 端口是否加入隔离组 端口的 QinQ 功能开启 / 关闭状态 VLAN Tag 的 TPID 值 添加的外层 VLAN Tag 内外层 VLAN 优先级映射关系 不同内层 VLAN ID 添加外层 VLAN Tag 的策略 内层 VLAN ID 替换关系 端口上允许通过的 VLAN 端口缺省 VLAN ID 端口的链路类型 ( 即 Trunk Hybrid Access 类型 ) 基于 IP 子网的 VLAN 配置 基于协议的 VLAN 配置 VLAN 报文是否带 Tag 配置 是否具有 MAC 地址学习功能 端口是否具有最大学习 MAC 地址个数的限制 MAC 地址表满后是否继续转发 在聚合接口上所作的第二类配置, 将被自动同步到对应聚合组内的所有成员端口上 当聚合接口被删除后, 这些配置仍将保留在原先的这些成员端口上 由于成员端口上第二类配置的改变可能导致其选中 / 非选中状态发生变化, 进而对业务产生影响, 因此当在成员端口上进行此类配置时, 系统将给出提示信息, 由用户来决定是否继续执行该配置 (3) 第一类配置 : 是相对于第二类配置而言的, 包含的配置内容有 GVRP MSTP 等 在聚合组中, 即使某成员端口与对应聚合接口的第一类配置存在不同, 也不会影响该成员端口成为选中端口 5. 参考端口参考端口从成员端口中选出, 其端口属性类配置和第二类配置将作为同一聚合组内的其它成员端口的参照, 以确定这些成员端口的状态 6. LACP 协议基于 IEEE802.3ad 标准的 LACP(Link Aggregation Control Protocol, 链路聚合控制协议 ) 协议是一种实现链路动态聚合的协议, 运行该协议的设备之间通过互发 LACPDU(Link Aggregation Control Protocol Data Unit, 链路聚合控制协议数据单元 ) 来交互链路聚合的相关信息 (1) LACP 协议的功能根据所使用的 LACPDU 字段的不同, 可将 LACP 协议的功能分为基本功能和扩展功能两大类, 如表 1-2 所示 1-2

41 表 1-2 LACP 协议的功能分类 类别 说明 利用 LACPDU 的基本字段可以实现 LACP 协议的基本功能, 基本字段包含以下信息 : 系统 LACP 优先级 系统 MAC 地址 端口 LACP 优先级 端口编号和操作 Key 基本功能 扩展功能 动态聚合组内的成员端口会自动使能 LACP 协议, 并通过发送 LACPDU 向对端通告本端的上述信息 当对端收到该 LACPDU 后, 将其中的信息与本端其它成员端口收到的信息进行比较, 以选择能够处于选中状态的成员端口, 使双方可以对各自接口的选中 / 非选中状态达成一致, 从而决定哪些链路可以加入聚合组以及某链路何时可以加入聚合组 通过对 LACPDU 的字段进行扩展, 可以实现对 LACP 协议的扩展 譬如, 通过在扩展字段中定义一个新的 TLV(Type/Length/Value, 类型 / 长度 / 值 ) 数据域, 可以实现 IRF(Intelligent Resilient Framework, 智能弹性架构 ) 中的 LACP MAD(Multi-Active Detection, 多 Active 检测 ) 机制 本设备来说, 可以作为成员设备或中间设备来参与 LACP MAD 有关 IRF 成员设备 中间设备和 LACP MAD 机制的详细介绍, 请参见 IRF 配置指导 中的 IRF 配置 (2) LACP 优先级根据作用的不同, 可以将 LACP 优先级分为系统 LACP 优先级和端口 LACP 优先级两类, 如表 1-3 所示 表 1-3 LACP 优先级的分类类别说明比较标准 系统 LACP 优先级 端口 LACP 优先级 系统 LACP 优先级用于区分两端设备优先级的高低 要想使两端设备的选中端口一致, 可以使一端具有较高的优先级, 另一端则根据优先级较高的一端来选择本端的选中端口 端口 LACP 优先级用于区分各成员端口成为选中端口的优先程度 优先级数值越小, 优先级越高 (3) LACP 超时时间 LACP 超时时间是动态聚合组内的成员端口等待接收 LACPDU 的超时时间 在三倍 LACP 超时时间之后, 如果本端成员端口仍未收到来自对端的 LACPDU, 则认为对端成员端口已失效 LACP 超时时间只有短超时 (1 秒 ) 和长超时 (30 秒 ) 两种取值 7. 聚合模式根据成员端口上是否启用了 LACP 协议, 可以将链路聚合分为静态聚合和动态聚合两种模式, 它们各自的特点如表 1-4 所示 表 1-4 不同聚合模式的特点 聚合模式 成员端口是否开启 LACP 协议 优点 缺点 静态聚合模式 否 一旦配置好后, 端口的选中 / 非选中状态就不会受网络环境的影响, 比较稳定 不能根据对端的状态调整端口的选中 / 非选中状态, 不够灵活 动态聚合模式 是 能够根据对端和本端的信息调整端口的选中 / 非选中状态, 比较灵活 端口的选中 / 非选中状态容易受网络环境的影响, 不够稳定 1-3

42 处于静态聚合模式和动态聚合模式下的聚合组分别称为静态聚合组和动态聚合组, 动态聚合组内的选中端口以及处于 up 状态 与对应聚合接口的第二类配置相同的非选中端口均可以收发 LACPDU 静态聚合模式在静态聚合模式下, 聚合组内的成员端口上不启用 LACP 协议, 其端口状态通过手工进行维护 静态聚合模式的工作机制如下 : 1. 选择参考端口当聚合组内有处于 up 状态的端口时, 系统会按照端口的全双工 / 高速率 -> 全双工 / 低速率 -> 半双工 / 高速率 -> 半双工 / 低速率的优先次序, 选择优先次序最高 且第二类配置与对应聚合接口相同的端口作为该组的参考端口 ; 如果优先次序也相同, 则选择端口号最小的端口作为参考端口 2. 确定成员端口的状态静态聚合组内成员端口状态的确定流程如图 1-2 所示 图 1-2 静态聚合组内成员端口状态的确定流程 1-4

43 当一个成员端口的端口属性类配置或第二类配置改变时, 其所在静态聚合组内各成员端口的选中 / 非选中状态可能会发生改变 当静态聚合组内选中端口的数量已达到上限时, 后加入的成员端口即使满足成为选中端口的所有条件, 也不会立刻成为选中端口 这样能够尽量维持当前选中端口上的流量不中断, 但是由于设备重启时会重新计算选中端口, 因此可能导致设备重启前 后各成员端口的选中 / 非选中状态不一致 动态聚合模式在动态聚合模式下, 聚合组内的成员端口上均启用 LACP 协议, 其端口状态通过该协议自动进行维护 动态聚合模式的工作机制如下 : 1. 选择参考端口 (1) 首先, 从聚合链路的两端选出设备 ID( 由系统的 LACP 优先级和系统的 MAC 地址共同构成 ) 较小的一端 : 先比较两端的系统 LACP 优先级, 优先级越小其设备 ID 越小 ; 如果优先级相同再比较其系统 MAC 地址,MAC 地址越小其设备 ID 越小 (2) 其次, 对于设备 ID 较小的一端, 再比较其聚合组内各成员端口的端口 ID( 由端口的 LACP 优先级和端口的编号共同构成 ): 先比较端口的 LACP 优先级, 优先级数值越小其端口 ID 越小 ; 如果优先级相同再比较其端口号, 端口号越小其端口 ID 越小 端口 ID 最小的端口作为参考端口 2. 确定成员端口的状态在设备 ID 较小的一端, 动态聚合组内成员端口状态的确定流程如图 1-3 所示 1-5

44 图 1-3 动态聚合组内成员端口状态的确定流程 开始确定本端口的选中 / 非选中状态 本端口是否因硬件限制而无法与参考端口聚合? 是 否 本端口是否处于 up 状态? 否 是 本端口的端口属性类配置和第二类配置与参考端口 ( 参考端口在本端设备上 ) 是否相同? 否 是 本端口的对端端口的端口属性类配置和第二类配置与参考端口的对端端口是否相同? 否 是 聚合组中候选端口的数量是否已超过上限? 是 按端口号从小到大排序, 本端口是否处于上限范围内? 否 否 是 本端口为选中端口 本端口为非选中端口 与此同时, 设备 ID 较大的一端也会随着对端成员端口状态的变化, 随时调整本端各成员端口的状态, 以确保聚合链路两端成员端口状态的一致 当一个成员端口的端口属性类配置或第二类配置改变时, 其所在动态聚合组内各成员端口的选中 / 非选中状态可能会发生改变 当本端端口的选中 / 非选中状态发生改变时, 其对端端口的选中 / 非选中状态也将随之改变 当动态聚合组内选中端口的数量已达到上限时, 后加入的成员端口一旦满足成为选中端口的所有条件, 就会立刻取代已不满足条件的端口成为选中端口 1-6

45 1.1.4 聚合负载分担类型通过采用不同的聚合负载分担类型及其组合, 可以灵活地实现对聚合组内流量的负载分担 聚合负载分担的类型包括以下几种 : 根据报文的 MAC 地址进行聚合负载分担 根据报文的 IP 地址进行聚合负载分担 根据报文的服务端口号进行聚合负载分担 根据报文的入端口号进行聚合负载分担 根据报文的 MPLS 标签进行聚合负载分担用户可以手动指定聚合负载分担类型或根据报文类型 ( 如二层 IPv4 IPv6 MPLS 等 ) 进行自动匹配负载分担类型 1.2 以太网链路聚合配置任务简介 表 1-5 以太网链路聚合配置任务简介 配置任务 说明 详细配置 配置聚合组 配置静态聚合组 二者必选其一配置动态聚合组 配置不同类型业务板跨板聚合后的 MAC 地址表同步功能 可选 配置聚合接口描述信息可选 聚合接口相关配置 开启聚合接口链路状态变化 Trap 功能可选 限制聚合组内选中端口的数量可选 关闭聚合接口可选 配置聚合负载分担 配置聚合负载分担类型可选 配置聚合负载分担为本地转发优先可选 配置聚合流量重定向功能可选 配置聚合组 聚合链路的两端应配置相同的聚合模式 1-7

46 配置或使能了下列功能的端口将不能加入二层聚合组 :RRPP( 请参见 可靠性配置指导 中的 RRPP 配置 ) MAC 地址认证 ( 请参见 安全配置指导 中的 MAC 地址认证配置 ) 端口安全模式 ( 请参见 安全配置指导 中的 端口安全配置 ) IP Source Guard 功能 ( 请参见 安全配置指导 中的 IP Source Guard 配置 ) 802.1X 功能 ( 请参见 安全配置指导 中的 802.1X 配置 ) 为了更好的实现数据流量在聚合组中各个成员端口之间分担, 建议将同类型的端口 ( 如全百兆以太网端口或全千兆以太网端口等 ) 加入聚合组 用户删除聚合接口时, 系统将自动删除对应的聚合组, 且该聚合组内的所有成员端口将全部离开该聚合组 配置静态聚合组 对于静态聚合模式, 用户需要保证在同一链路两端端口的选中 / 非选中状态的一致性, 否则聚合功能无法正常使用 表 1-6 配置二层静态聚合组操作 命令 说明 进入系统视图 system-view - 必选 创建二层聚合接口, 并进入二层聚合接口视图 interface bridge-aggregation interface-number 创建二层聚合接口后, 系统将自动生成同编号的二层聚合组, 且该聚合组缺省工作在静态聚合模式下 退回系统视图 quit - 进入二层以太网端口视图 将二层以太网端口加入聚合组 interface interface-type interface-number port link-aggregation group number 必选多次执行此步骤可将多个二层以太网端口加入聚合组 1-8

47 1.3.2 配置动态聚合组 对于动态聚合模式, 聚合链路两端的设备会自动协商同一链路两端的端口在各自聚合组内的选中 / 非选中状态, 用户只需保证本端聚合在一起的端口的对端也同样聚合在一起, 聚合功能即可正常使用 表 1-7 配置二层动态聚合组 操作命令说明 进入系统视图 system-view - 配置系统的 LACP 优先级 创建二层聚合接口, 并进入二层聚合接口视图 配置聚合组工作在动态聚合模式下 lacp system-priority system-priority interface bridge-aggregation interface-number link-aggregation mode dynamic 可选缺省情况下, 系统的 LACP 优先级为 改变系统的 LACP 优先级, 将会影响到动态聚合组成员端口的选中 / 非选中状态 必选 创建二层聚合接口后, 系统将自动生成同编号的二层聚合组, 且该聚合组缺省工作在静态聚合模式下 必选 缺省情况下, 聚合组工作在静态聚合模式下 退回系统视图 quit - 进入二层以太网端口视图 将二层以太网端口加入聚合组 配置端口的 LACP 优先级 配置端口的 LACP 超时时间为短超时 ( 即 1 秒 ) interface interface-type interface-number port link-aggregation group number lacp port-priority port-priority lacp period short 必选 多次执行此步骤可将多个二层以太网端口加入聚合组 可选缺省情况下, 端口的 LACP 优先级为 改变端口的 LACP 优先级, 将会影响到动态聚合组成员端口的选中 / 非选中状态 可选缺省情况下, 端口的 LACP 超时时间为长超时 ( 即 30 秒 ) 1-9

48 1.3.3 配置板跨板聚合后的 MAC 地址表同步功能 此功能只适用于在不同类型业务板之间 ( 如 SA 类单板和 SC 类单板之间 ) 或相同类型但不同工作 模式下的业务板之间配置跨板聚合组后 MAC 地址表的同步, 类型和工作模式都相同的业务板之间 配置跨板聚合组后不需要配置此功能即可实现 MAC 地址表同步 WX6100E 支持跨板聚合组, 即所配置的聚合组内的成员端口位于不同的业务板上 配置跨板聚合组后, 可能会出现发送报文的出端口和接收应答报文的入端口不在同一个业务板上的情况, 从而导致出端口无法学习到应答报文的 MAC 源地址, 这样会产生大量广播 开启跨板聚合 MAC 地址表同步功能后, 系统会对跨板聚合的业务板之间进行 MAC 地址同步, 使得跨板聚合的各业务板之间 MAC 地址表保持一致, 避免了广播流量的产生, 实现跨板聚合报文的单播转发, 提高了转发效率 WX6100E 系列无线控制器支持多种类型的业务板, 不同类型业务板在缺省情况下 MAC 地址表或路由表容量大小不同, 改变工作模式后,MAC 地址表或路由表容量大小也不同, 当开启跨板聚合 MAC 地址表同步功能后, 业务板在不同工作模式下所支持的 MAC 地址同步如图 1-4: A 区域中的业务板可把 MAC 地址表同步给 B 和 C 区域中的业务板 ; B 区域中的业务板可把 MAC 地址表同步给 C 区域中的业务板 ; B 或 C 区域中, 不同类型业务板之间可相互同步 MAC 地址表 图 1-4 不同类型业务板在不同工作模式下支持的 MAC 地址表同步 A SA B SC SD(normal/routing) C SD(bridging/mix-bridging-routing) 表 1-8 配置板跨板聚合后的 MAC 地址表同步 操作命令说明 进入系统视图 system-view - 配置不同类型业务板跨板聚合后的 MAC 地址表同步 synchronization mac-address enable 必选缺省情况下, 没有开启不同类型业务板跨板聚合后的 MAC 地址表同步功能 1-10

49 有关 MAC 地址表的详细介绍请参见 二层技术 - 以太网交换配置指导 中的 MAC 地址表配置 ; 有关业务板工作模式的介绍请参见 基础配置指导 中的 设备管理配置 ; 设备可以支持 SC SD 等多种类型的业务板, 有关业务板类型的详细介绍请参见安装手册 1.4 聚合接口相关配置 本节对能够在聚合接口上进行的部分配置进行介绍 除本节所介绍的以外, 能够在二层以太网端口 上进行的配置大多数也能在二层聚合接口上进行, 具体配置请参见相关的配置指导 配置聚合接口描述信息 通过在接口上配置描述信息, 可以方便网络管理员根据这些信息来区分各接口的作用 表 1-9 配置聚合接口描述信息 操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 配置聚合接口的描述信息 description text 可选缺省情况下, 描述信息为 该接口的接口名 Interface 开启聚合接口链路状态变化 Trap 功能在聚合接口上开启了接口链路状态变化 Trap 功能后, 可以使聚合接口在链路状态发生改变时生成并发送端口 Link up 和 Link down 的 Trap 报文 有关 Trap 的详细介绍, 请参见 网络管理和监控配置指导 中的 SNMP 配置 表 1-10 开启聚合接口状态变化 Trap 功能 操作命令说明进入系统视图 system-view - 开启全局接口链路状态变化 Trap 功能 进入二层聚合接口视图 开启接口链路状态变化 Trap 功能 snmp-agent trap enable [ standard [ linkdown linkup ] * ] interface bridge-aggregation interface-number enable snmp trap updown 可选缺省情况下, 全局接口链路状态变化 Trap 功能处于开启状态 - 可选 缺省情况下, 接口链路状态变化 Trap 功能处于开启状态 1-11

50 1.4.3 限制聚合组内选中端口的数量聚合链路的带宽取决于聚合组内选中端口的数量, 用户通过配置聚合组中的最小选中端口数, 可以避免由于选中端口太少而造成聚合链路上的流量拥塞 当聚合组内选中端口的数量达不到配置值时, 对应的聚合接口将不会 up, 从而使流量可以切换到备份链路上 具体实现如下 : 如果聚合组内能够被选中的成员端口数小于配置值, 这些成员端口都将变为非选中状态, 对应聚合接口的链路状态也将变为 down 当聚合组内成员端口的选中 / 非选中状态发生改变时, 如果聚合组内能够被选中的成员端口数小于配置值, 这些成员端口都将变为非选中状态, 对应聚合接口的链路状态也将变为 down 当聚合组内能够被选中的成员端口数增加至不小于配置值时, 这些成员端口都将变为选中状态, 对应聚合接口的链路状态也将变为 up 表 1-11 限制聚合组内选中端口的数量 操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 配置聚合组中的最小选中端口数 link-aggregation selected-port minimum number 必选缺省情况下, 聚合组中的最小选中端口数不受限制 针对静态聚合组进行本配置时, 必须在聚合链路两端进行相同的配置, 并保证两端聚合组的配置一致 配置聚合组中的最小选中端口数可能导致聚合组内的所有成员端口都变为非选中状态 关闭聚合接口对聚合接口的开启 / 关闭操作, 将会影响聚合接口对应的聚合组内成员端口的选中 / 非选中状态和链路状态 : 关闭聚合接口时, 将使对应聚合组内所有处于选中状态的成员端口都变为非选中端口, 且所有成员端口的链路状态都将变为 down 开启聚合接口时, 系统将重新计算对应聚合组内成员端口的选中 / 非选中状态, 且所有成员端口的链路状态都将变为 up 表 1-12 关闭聚合接口 操作命令说明进入系统视图 system-view - 进入聚合接口视图 interface bridge-aggregation interface-number

51 操作命令说明 关闭聚合接口 shutdown 必选 缺省情况下, 聚合接口 / 子接口处于开启状态 1.5 配置聚合负载分担 配置聚合负载分担类型 通过改变负载分担的类型, 可以灵活地实现聚合组流量的负载分担 用户既可以指定系统按照报文携带的 MPLS 标签 服务端口号 IP 地址 MAC 地址 报文入端口等信息之一或其组合来选择所采用的负载分担类型, 也可以指定系统按照报文类型 ( 如二层 IPv4 IPv6 MPLS 等 ) 自动选择所采用的聚合负载分担类型 用户可以根据需要, 选择全局配置或在聚合组内配置聚合负载分担类型 全局的配置对所有聚合组都有效, 而聚合组内的配置只对当前聚合组有效 对于某聚合组来说, 优先采用该聚合组内的配置, 只有该聚合组内未进行配置时, 才采用全局的配置 1. 全局配置聚合负载分担类型表 1-13 全局配置聚合负载分担类型操作命令说明进入系统视图 system-view - 配置全局采用的聚合负载分担类型 link-aggregation load-sharing mode { destination-ip destination-mac destination-port ingress-port source-ip source-mac source-port } * 必选缺省情况下, 二层报文根据源 / 目的 MAC 地址及报文入端口号进行聚合负载分担, 三层报文根据源 / 目的 IP 地址进行聚合负载分担 目前, 在系统视图下进行全局聚合负载分担类型配置, 交换机只支持 : 根据源 IP 地址进行聚合负载分担 ; 根据目的 IP 地址进行聚合负载分担 ; 根据源 MAC 地址进行聚合负载分担 ; 根据目的 MAC 地址进行聚合负载分担 ; 根据源 IP 地址与目的 IP 地址进行聚合负载分担 ; 根据源 IP 地址与源端口进行聚合负载分担 ; 根据目的 IP 地址与目的端口进行聚合负载分担 ; 根据报文入端口 源 MAC 地址 目的 MAC 地址之间不同的组合进行聚合负载分担 1-13

52 2. 在聚合组内配置聚合负载分担类型表 1-14 在聚合组内配置聚合负载分担类型操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 配置聚合组内采用的聚合负载分担类型 link-aggregation load-sharing mode { { destination-ip destination-mac mpls-label1 mpls-label2 source-ip source-mac} * flexible } 必选缺省情况下, 聚合组内采用的聚合负载分担类型与全局采用的聚合负载分担类型一致 目前, 在二层聚合接口视图下进行聚合组的聚合负载分担模式配置, 交换机只支持 : 根据报文类型自动匹配负载分担类型 ; 根据源 IP 地址进行聚合负载分担 ; 根据目的 IP 地址进行聚合负载分担 ; 根据源 MAC 地址进行聚合负载分担 ; 根据目的 MAC 地址进行聚合负载分担 ; 根据 mpls-label1 标签进行聚合负载分担 ; 根据目的 IP 地址与源 IP 地址进行聚合负载分担 ; 根据目的 MAC 地址与源 MAC 地址进行聚合负载分担 ; 根据 mpls-label1 和 mpls-label2 标签进行聚合负载分担 配置聚合负载分担为本地转发优先聚合负载分担的本地转发优先机制可以降低数据流量对 IRF 物理端口间链路的冲击, 采用与未采用该机制时的聚合负载分担方式如图 1-5 所示 有关 IRF 的详细介绍, 请参见 IRF 配置指导 中的 IRF 配置 1-14

53 图 1-5 本地转发优先处理流程图 IRF 中, 进入某成员设备的报文出接口为聚合接口, 且对应聚合组的成员端口分布在多个成员设备上 是 该设备上的聚合负载分担是否为本地转发优先? 否 该设备上是否有成员端口? 否 是 只在该设备的各成员端口间进行负载分担 在所有成员设备的所有成员端口间进行负载分担 表 1-15 配置聚合负载分担为本地转发优先 操作命令说明 进入系统视图 system-view - 配置聚合负载分担为本地转发优先 link-aggregation load-sharing mode local-first 可选 缺省情况下, 聚合负载分担为本地转发优先 1.6 配置聚合流量重定向功能 在使能了聚合流量重定向功能后, 当重启分布式设备上的某块单板或 IRF 中的某台成员设备时, 系统可以将待重启单板 / 设备上的聚合成员端口的流量重定向到其它单板 / 设备上, 从而实现聚合链路上流量的不中断 有关 IRF 的详细介绍, 请参见 IRF 配置指导 中的 IRF 配置 表 1-16 配置聚合流量重定向功能操作命令说明进入系统视图 system-view - 使能聚合流量重定向功能 link-aggregation lacp traffic-redirect-notification enable 可选 缺省情况下, 聚合流量重定向功能处于关闭状态 1-15

54 聚合流量重定向功能只支持动态聚合组 必须在聚合链路两端都使能聚合流量重定向功能才能实现聚合链路上流量的不中断 如果同时使能聚合流量重定向功能和 MSTP 功能, 在重启单板 / 设备时会出现少量的丢包, 因此不建议同时使能上述两个功能 1.7 以太网链路聚合显示与维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后以太网链路聚合的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除端口的 LACP 和聚合接口上的统计信息 表 1-17 以太网链路聚合显示与维护 操作 显示二层聚合接口的相关信息 显示本端系统的设备 ID 显示全局或聚合组内采用的聚合负载分担类型 显示成员端口上链路聚合的详细信息 显示所有聚合组的摘要信息 显示指定聚合组的详细信息 命令 display interface bridge-aggregation [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface bridge-aggregation interface-number [ brief ] [ { begin exclude include } regular-expression ] display lacp system-id [ { begin exclude include } regular-expression ] display link-aggregation load-sharing mode [ interface [ bridge-aggregation interface-number ] ] [ { begin exclude include } regular-expression ] display link-aggregation member-port [ interface-list ] [ { begin exclude include } regular-expression ] display link-aggregation summary [ { begin exclude include } regular-expression ] display link-aggregation verbose [ bridge-aggregation [ interface-number ] ] [ { begin exclude include } regular-expression ] 清除成员端口上的 LACP 统计信息 reset lacp statistics [ interface interface-list ] 清除聚合接口上的统计信息 reset counters interface [ bridge-aggregation [ interface-number ] ] 1.8 以太网链路聚合典型配置举例 在聚合组中, 只有端口属性类配置 ( 请参见 配置分类 ) 和第二类配置 ( 请参见 配置分类 ) 都与参考端口 ( 请参见 参考端口 ) 相同的成员端口才可以成为选中端口 因此, 用户需通过配置使各成员端口的上述配置与参考端口保持一致, 而除此以外的其它配置则只需在聚合接口上进行, 不必再在成员端口上重复配置 1-16

55 1.8.1 二层静态聚合配置举例 1. 组网需求 Device A 与 Device B 通过各自的以太网端口 GigabitEthernet2/0/1~GigabitEthernet2/0/3 相互连接 在 Device A 和 Device B 上分别配置静态链路聚合组, 并使两端的 VLAN 10 和 VLAN 20 之间分别互通 通过按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担的方式, 来实现数据流量在各成员端口间的负载分担 2. 组网图图 1-6 静态聚合配置组网图 3. 配置步骤 (1) 配置 Device A # 创建 VLAN 10, 并将端口 GigabitEthernet2/0/4 加入到该 VLAN 中 <DeviceA> system-view [DeviceA] vlan 10 [DeviceA-vlan10] port gigabitethernet 2/0/4 [DeviceA-vlan10] quit # 创建 VLAN 20, 并将端口 GigabitEthernet2/0/5 加入到该 VLAN 中 [DeviceA] vlan 20 [DeviceA-vlan20] port gigabitethernet 2/0/5 [DeviceA-vlan20] quit # 创建二层聚合接口 1 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] quit # 分别将端口 GigabitEthernet2/0/1 至 GigabitEthernet2/0/3 加入到聚合组 1 中 [DeviceA] interface gigabitethernet 2/0/1 1-17

56 [DeviceA-gigabitethernet2/0/1] port link-aggregation group 1 [DeviceA-gigabitethernet2/0/1] quit [DeviceA] interface gigabitethernet 2/0/2 [DeviceA-gigabitethernet2/0/2] port link-aggregation group 1 [DeviceA-gigabitethernet2/0/2] quit [DeviceA] interface gigabitethernet 2/0/3 [DeviceA-gigabitethernet2/0/3] port link-aggregation group 1 [DeviceA-gigabitethernet2/0/3] quit # 配置二层聚合接口 1 为 Trunk 端口, 并允许 VLAN 10 和 20 的报文通过 该配置将被自动同步到聚合组 1 内的所有成员端口上 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] port link-type trunk [DeviceA-Bridge-Aggregation1] port trunk permit vlan Please wait... Done. Configuring GigabitEthernet2/0/1... Done. Configuring GigabitEthernet2/0/2... Done. Configuring GigabitEthernet2/0/3... Done. [DeviceA-Bridge-Aggregation1] quit # 配置全局按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担 [DeviceA] link-aggregation load-sharing mode source-mac destination-mac (2) 配置 Device B Device B 的配置与 Device A 相似, 配置过程略 (3) 检验配置效果 # 查看 Device A 上所有聚合组的摘要信息 [DeviceA] display link-aggregation summary Aggregation Interface Type: BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation Aggregation Mode: S -- Static, D -- Dynamic Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Actor System ID: 0x8000, 000f-e2ff-0001 AGG AGG Partner ID Select Unselect Share Interface Mode Ports Ports Type BAGG1 S none 3 0 Shar 以上信息表明, 聚合组 1 为负载分担类型的静态聚合组, 包含有三个选中端口 # 查看 Device A 上全局采用的聚合负载分担类型 [DeviceA] display link-aggregation load-sharing mode Link-Aggregation Load-Sharing Mode: destination-mac address, source-mac address 以上信息表明, 所有聚合组都按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担 1-18

57 1.8.2 动态聚合配置举例 1. 组网需求 Device A 与 Device B 通过各自的以太网端口 GigabitEthernet2/0/1~GigabitEthernet2/0/3 相互连接 在 Device A 和 Device B 上分别配置动态链路聚合组, 并使两端的 VLAN 10 和 VLAN 20 之间分别互通 通过按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担的方式, 来实现数据流量在各成员端口间的负载分担 2. 组网图图 1-7 动态聚合配置组网图 3. 配置步骤 (1) 配置 Device A # 创建 VLAN 10, 并将端口 GigabitEthernet2/0/4 加入到该 VLAN 中 <DeviceA> system-view [DeviceA] vlan 10 [DeviceA-vlan10] port gigabitethernet 2/0/4 [DeviceA-vlan10] quit # 创建 VLAN 20, 并将端口 GigabitEthernet2/0/5 加入到该 VLAN 中 [DeviceA] vlan 20 [DeviceA-vlan20] port gigabitethernet 2/0/5 [DeviceA-vlan20] quit # 创建二层聚合接口 1, 并配置该接口为动态聚合模式 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] link-aggregation mode dynamic [DeviceA-Bridge-Aggregation1] quit # 分别将端口 GigabitEthernet2/0/1 至 GigabitEthernet2/0/3 加入到聚合组 1 中 [DeviceA] interface gigabitethernet 2/0/1 [DeviceA-gigabitethernet2/0/1] port link-aggregation group

58 [DeviceA-gigabitethernet2/0/1] quit [DeviceA] interface gigabitethernet 2/0/2 [DeviceA-gigabitethernet2/0/2] port link-aggregation group 1 [DeviceA-gigabitethernet2/0/2] quit [DeviceA] interface gigabitethernet 2/0/3 [DeviceA-gigabitethernet2/0/3] port link-aggregation group 1 [DeviceA-gigabitethernet2/0/3] quit # 配置二层聚合接口 1 为 Trunk 端口, 并允许 VLAN 10 和 20 的报文通过 该配置将被自动同步到聚合组 1 内的所有成员端口上 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] port link-type trunk [DeviceA-Bridge-Aggregation1] port trunk permit vlan Please wait... Done. Configuring GigabitEthernet2/0/1... Done. Configuring GigabitEthernet2/0/2... Done. Configuring GigabitEthernet2/0/3... Done. [DeviceA-Bridge-Aggregation1] quit # 配置全局按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担 [DeviceA] link-aggregation load-sharing mode source-mac destination-mac (2) 配置 Device B Device B 的配置与 Device A 相似, 配置过程略 (3) 检验配置效果 # 查看 Device A 上所有聚合组的摘要信息 [DeviceA] display link-aggregation summary Aggregation Interface Type: BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation Aggregation Mode: S -- Static, D -- Dynamic Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Actor System ID: 0x8000, 000f-e2ff-0001 AGG AGG Partner ID Select Unselect Share Interface Mode Ports Ports Type BAGG1 D 0x8000, 000f-e2ff Shar 以上信息表明, 聚合组 1 为负载分担类型的二层动态聚合组, 包含有三个选中端口 # 查看 Device A 上全局采用的聚合负载分担类型 [DeviceA] display link-aggregation load-sharing mode Link-Aggregation Load-Sharing Mode: destination-mac address, source-mac address 以上信息表明, 所有聚合组都按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担 1-20

59 1.8.3 聚合负载分担配置举例 1. 组网需求 Device A 与 Device B 通过各自的以太网端口 GigabitEthernet2/0/1~ GigabitEthernet2/0/4 相互连接 在 Device A 和 Device B 上分别配置两个静态链路聚合组, 并使两端的 VLAN 10 和 VLAN 20 之间分别互通 通过在聚合组 1 上按照源 MAC 地址进行聚合负载分担 在聚合组 2 上按照目的 MAC 地址进行聚合负载分担的方式, 来实现数据流量在各成员端口间的负载分担 2. 组网图图 1-8 聚合负载分担配置组网图 3. 配置步骤 (1) 配置 Device A # 创建 VLAN 10, 并将端口 GigabitEthernet2/0/5 加入到该 VLAN 中 <DeviceA> system-view [DeviceA] vlan 10 [DeviceA-vlan10] port gigabitethernet 2/0/5 [DeviceA-vlan10] quit # 创建 VLAN 20, 并将端口 GigabitEthernet2/0/6 加入到该 VLAN 中 [DeviceA] vlan 20 [DeviceA-vlan20] port gigabitethernet 2/0/6 [DeviceA-vlan20] quit # 创建二层聚合接口 1, 并配置该接口对应的聚合组内按照源 MAC 地址进行聚合负载分担 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] link-aggregation load-sharing mode source-mac [DeviceA-Bridge-Aggregation1] quit # 分别将端口 GigabitEthernet2/0/1 和 GigabitEthernet2/0/2 加入到聚合组 1 中 [DeviceA] interface gigabitethernet 2/0/1 [DeviceA-GigabitEthernet2/0/1] port link-aggregation group